Skip to main content

    Responsible Disclosure

    Coordinated Vulnerability Disclosure (CVD) Beleid

    Laatst bijgewerkt: januari 2025

    De Toetsenmaker neemt beveiliging serieus. Wij waarderen de inspanningen van beveiligingsonderzoekers die ons helpen onze systemen veiliger te maken. Dit beleid beschrijft hoe u kwetsbaarheden op een verantwoorde manier kunt melden.

    Scope

    Dit beleid is van toepassing op:

    In scope

    • detoetsenmaker.nl en alle subdomeinen
    • De Toetsenmaker webapplicatie
    • API-endpoints en backend-services
    • Authenticatie- en autorisatiesystemen

    Buiten scope

    • Social engineering aanvallen
    • Fysieke beveiligingsproblemen
    • Denial of Service (DoS) aanvallen
    • Spam of phishing via ons platform
    • Problemen in software van derden die wij niet beheren

    Spelregels

    Wij vragen u om:

    • Geen data te wijzigen of te verwijderen die niet van u is
    • Geen toegang te verkrijgen tot accounts van anderen
    • Geen Denial of Service aanvallen uit te voeren
    • Geen malware te installeren of te verspreiden
    • Eventueel verkregen data vertrouwelijk te behandelen
    • Ons voldoende tijd te geven om het probleem op te lossen (minimaal 90 dagen)

    Meldingsproces

    1

    Melding

    Stuur een e-mail naar security@detoetsenmaker.nl met een gedetailleerde beschrijving van de kwetsbaarheid.

    2

    Bevestiging

    Wij bevestigen de ontvangst van uw melding binnen 3 werkdagen.

    3

    Beoordeling

    Wij beoordelen de melding en houden u op de hoogte van onze bevindingen.

    4

    Oplossing

    Wij lossen het probleem op en informeren u wanneer dit is gebeurd.

    5

    Publicatie

    Na overleg kan de kwetsbaarheid gepubliceerd worden, met erkenning voor de melder.

    Wat moet uw melding bevatten?

    • Een duidelijke beschrijving van de kwetsbaarheid
    • Stappen om de kwetsbaarheid te reproduceren
    • Mogelijke impact van de kwetsbaarheid
    • Eventuele suggesties voor een oplossing
    • Uw contactgegevens (optioneel voor anonieme meldingen)

    Erkenning

    Wij zijn dankbaar voor verantwoorde meldingen en bieden:

    • Vermelding in onze Hall of Fame (indien gewenst)
    • Persoonlijke dankbetuiging
    • Mogelijke bug bounty voor kritieke kwetsbaarheden (naar eigen inzicht)

    Juridische Bescherming

    Indien u handelt in overeenstemming met dit beleid, zullen wij:

    • Geen juridische stappen tegen u ondernemen
    • Uw melding vertrouwelijk behandelen
    • U op de hoogte houden van de voortgang

    Contact

    Voor beveiligingsmeldingen:

    security@detoetsenmaker.nl

    Voor algemene vragen kunt u ons contactformulier gebruiken.